Если у оператора есть два набора данных, каждый из которых не позволяет определить лицо, но в совокупности они могут это сделать, то каждый из таких наборов данных может быть квалифицирован как персональные данные, поскольку может рассматриваться в качестве информации, относящейся к косвенно определяемому лицу.
В этой связи возникает вопрос: следует ли при решении вопроса о квалификации данных в качестве персональных принимать во внимание массивы данных, находящиеся во владении у конкретного оператора, или же следует учитывать потенциальную возможность совместного использования их с информацией, находящейся во владении других операторов? Согласно позиции Суда ЕС данные о динамических IP-адресах, собранные онлайн-сервисом, являются персональными данными при одновременном выполнении следующих условий:
1) они могут идентифицировать конкретного субъекта в совокупности с данными, которые имеются у интернет-провайдера такого субъекта, и
2) у онлайн-сервиса есть потенциальный доступ к таким данным интернет-провайдера.
В рассматриваемом случае Суд счел, что такой доступ у онлайн-сервиса был, поскольку указанные сведения могли быть запрошены у интернет-провайдера при возникновении необходимости расследования неправомерных действий третьих лиц в отношении онлайн-сервиса, например, DDoS-атак42. Учитывая, что благодаря технологиям «больших данных» существует потенциальная возможность сотрудничества в сфере совместной обработки массивов данных, которые могут принадлежать различным операторам, данное решение выглядит вполне логичным. Однако не менее очевидно, что оно чрезмерно расширяет понятие персональных данных, увеличивая как издержки операторов, связанные с исполнением законодательства о персональных данных, так и риски принятия ими неправильных решений о статусе обрабатываемой информации.
г) Субъектами персональных данных могут выступать только физические лица. Контактные данные и реквизиты юридического лица, а также иные сведения, по которым можно его определить, не охватываются понятием персональных данных. Во многом это связано с тем, что основной вид персональных данных юридического лица – фирменное наименование – обладает защитой в рамках специального правового режима, а данные о представителях юридического лица – физических лицах охватываются общим правовым режимом законодательства о персональных данных. Кроме того, отнесение юридических лиц к числу субъектов персональных данных могло бы повлечь негативные последствия для коммерческого оборота как посредством создания дополнительных условий для недобросовестной конкуренции, так и вследствие дополнительных ограничений на трансграничный обмен информацией.
Персональными